Google wykryło pierwszy atak zero day stworzony przez AI. Celem było obejście 2FA

Google poinformowało o pierwszym znanym przypadku wykorzystania sztucznej inteligencji do stworzenia exploita typu zero day. Informacje pochodzą z najnowszego raportu zespołu Google Threat Intelligence Group, który opisuje próbę przeprowadzenia szerokiej kampanii cyberataków z użyciem narzędzi generowanych przez AI.

Cyberprzestępcy wykorzystali model sztucznej inteligencji do znalezienia podatności w popularnym narzędziu open source służącym do administracji webowej. Luka pozwalała na obejście uwierzytelniania dwuskładnikowego, czyli mechanizmu 2FA. Google wraz z twórcami oprogramowania przygotowali poprawkę bezpieczeństwa, która załatała dziurę. Firma dodaje ponadto, iż zdołali powstrzymać dzięki temu poważniejsze cyberataki.

Exploit stworzony przez AI

Najciekawsze w całej sprawie jest jednak to, iż według Google exploit miał zostać napisany bezpośrednio przez model AI, a nie przez człowieka. Analitycy zwrócili uwagę na nietypową strukturę kodu.

Google poinformowało o pierwszym znanym przypadku wykorzystania sztucznej inteligencji do stworzenia exploita typu zero day.

Skrypt zawierał rozbudowane komentarze edukacyjne, szczegółowe menu pomocy oraz nawet błędnie wygenerowaną ocenę zagrożenia CVSS. Zdaniem ekspertów taki styl jest charakterystyczny dla dużych modeli językowych, a nie dla typowych narzędzi tworzonych przez cyberprzestępców.

Sama luka miała charakter logiczny, a nie techniczny w klasycznym rozumieniu. Problem wynikał z błędnych założeń zapisanych przez programistę w procesie uwierzytelniania użytkownika. Tradycyjne skanery bezpieczeństwa nie wykryły podatności, natomiast AI miało zauważyć sprzeczność pomiędzy działaniem systemu a intencją twórcy kodu.

AI już aktywnie szuka luk w oprogramowaniu

Google twierdzi, że grupy powiązane z Koreą Północną, Chinami oraz Rosją już aktywnie wykorzystują AI do analizowania luk bezpieczeństwa, tworzenia narzędzi atakujących oraz prowadzenia operacji dezinformacyjnych. W jednym z przypadków przestępcy mieli używać AI do analizowania firmware routerów TP Link, a w innym do generowania fragmentów kodu utrudniających analizę złośliwego oprogramowania.

W efekcie coraz więcej zagrożeń może pojawiać się szybciej niż wcześniej, ponieważ AI pozwala automatyzować analizę kodu i wyszukiwanie błędów na ogromną skalę. Na razie eksperci uspokajają, że wiele takich narzędzi nadal działa niedokładnie i popełnia błędy.